我有 passport for node 的工作知识,但它没有以下内容:
Node.js 社区中是否有任何库解决了这个问题?如果有任何东西像 Devise for Rails 一样健壮(或者正在变得健壮) ,那将是完美的,但任何解决此 token 问题的方法都同样有效。
疯狂的是很多例子都在 session 中存储用户 id!
request.session['userId'] = user.get('id')
那只是要求被黑客攻击。
应该是这样的:
require.session['persistenceToken'] = App.User.generateRandomToken()
最佳答案
密码重置的一次性密码(又名一次性 token )策略是我将要实现的。考虑到 Passport 的架构,这很容易成为一个单独的模块,如果发现其他人已经实现了这样的东西,我也不会感到惊讶。
记住我,持久性 token 功能也是我想要支持的。最好,我也希望它成为一个单独的策略,但它可能需要一些核心支持。如果情况确实如此,req.logIn ( https://github.com/jaredhanson/passport/blob/master/lib/passport/http/request.js#L28 ) 中的一些额外行应该能够覆盖它。
至于在 session 中存储用户 ID,我认为没有什么大的风险,因为在默认情况下,在 Connect/Express 中, session 属性完全存储在后端并通过唯一的 sid<> 在加密的 cookie 中设置。恶意用户必须同时拥有唯一的 sid 和 session 密码才能欺骗请求。
Mozilla 正在使用 Passport 作为其身份识别工作的一部分,将 BrowserID 桥接到其他缺乏 BrowserID 支持的提供商(参见 browserid-bigtent)。根据他们的要求,开发人员可以确信 Passport 满足严格的安全要求。
(最终 Passport 中的 session 序列化是应用程序的责任,因此出于安全原因,如果需要,可以使用随机 token 代替用户 ID。显然,如果将数据直接存储在 cookie 中,应该这样做,但我会建议这样做是最不明智的做法。)
就管理模型上的这些属性而言,Passport 被设计为完全与模型/ORM 无关。我不打算改变这个事实,因为我认为这些决定最好留给应用程序(并且 Passport 由于委派了这种责任而更加灵活)。也就是说,我认为其他模块有空间在 Passport 之上独立构建以提供此功能。
综上所述,我认为 Passport 是现有 Node.js 身份验证解决方案中最强大的。您的前三个请求将大有帮助,而且它们应该很容易实现。我很乐意就这些功能进行合作,所以请随时与我联系。
最后,如果有人好奇,一流的 API 身份验证目前正在进行中,在 authinfo 上分支。在此基础上,passport-http-oauth实现OAuth服务器策略,可以结合oauthorize中间件作为组装 OAuth 服务器的工具包。这还没有完全完成,但准备就绪后将成为 Passport 的另一个有效功能。
关于javascript - 具有 "persistence token"功能的 Node.js 身份验证库,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/11199758/
我正在尝试测试是否存在表单。我是Rails新手。我的new.html.erb_spec.rb文件的内容是:require'spec_helper'describe"messages/new.html.erb"doit"shouldrendertheform"dorender'/messages/new.html.erb'reponse.shouldhave_form_putting_to(@message)with_submit_buttonendendView本身,new.html.erb,有代码:当我运行rspec时,它失败了:1)messages/new.html.erbshou
我在从html页面生成PDF时遇到问题。我正在使用PDFkit。在安装它的过程中,我注意到我需要wkhtmltopdf。所以我也安装了它。我做了PDFkit的文档所说的一切......现在我在尝试加载PDF时遇到了这个错误。这里是错误:commandfailed:"/usr/local/bin/wkhtmltopdf""--margin-right""0.75in""--page-size""Letter""--margin-top""0.75in""--margin-bottom""0.75in""--encoding""UTF-8""--margin-left""0.75in""-
我想安装一个带有一些身份验证的私有(private)Rubygem服务器。我希望能够使用公共(public)Ubuntu服务器托管内部gem。我读到了http://docs.rubygems.org/read/chapter/18.但是那个没有身份验证-如我所见。然后我读到了https://github.com/cwninja/geminabox.但是当我使用基本身份验证(他们在他们的Wiki中有)时,它会提示从我的服务器获取源。所以。如何制作带有身份验证的私有(private)Rubygem服务器?这是不可能的吗?谢谢。编辑:Geminabox问题。我尝试“捆绑”以安装新的gem..
为了将Cucumber用于命令行脚本,我按照提供的说明安装了arubagem。它在我的Gemfile中,我可以验证是否安装了正确的版本并且我已经包含了require'aruba/cucumber'在'features/env.rb'中为了确保它能正常工作,我写了以下场景:@announceScenario:Testingcucumber/arubaGivenablankslateThentheoutputfrom"ls-la"shouldcontain"drw"假设事情应该失败。它确实失败了,但失败的原因是错误的:@announceScenario:Testingcucumber/ar
我遵循MichaelHartl的“RubyonRails教程:学习Web开发”,并创建了检查用户名和电子邮件长度有效性的测试(名称最多50个字符,电子邮件最多255个字符)。test/helpers/application_helper_test.rb的内容是:require'test_helper'classApplicationHelperTest在运行bundleexecraketest时,所有测试都通过了,但我看到以下消息在最后被标记为错误:ERROR["test_full_title_helper",ApplicationHelperTest,1.820016791]test
我正在尝试从Postgresql表(table1)中获取数据,该表由另一个相关表(property)的字段(table2)过滤。在纯SQL中,我会这样编写查询:SELECT*FROMtable1JOINtable2USING(table2_id)WHEREtable2.propertyLIKE'query%'这工作正常:scope:my_scope,->(query){includes(:table2).where("table2.property":query)}但我真正需要的是使用LIKE运算符进行过滤,而不是严格相等。然而,这是行不通的:scope:my_scope,->(que
我正在尝试编写一个将文件上传到AWS并公开该文件的Ruby脚本。我做了以下事情:s3=Aws::S3::Resource.new(credentials:Aws::Credentials.new(KEY,SECRET),region:'us-west-2')obj=s3.bucket('stg-db').object('key')obj.upload_file(filename)这似乎工作正常,除了该文件不是公开可用的,而且我无法获得它的公共(public)URL。但是当我登录到S3时,我可以正常查看我的文件。为了使其公开可用,我将最后一行更改为obj.upload_file(file
当我尝试安装Ruby时遇到此错误。我试过查看this和this但无济于事➜~brewinstallrubyWarning:YouareusingOSX10.12.Wedonotprovidesupportforthispre-releaseversion.Youmayencounterbuildfailuresorotherbreakages.Pleasecreatepull-requestsinsteadoffilingissues.==>Installingdependenciesforruby:readline,libyaml,makedepend==>Installingrub
只是想确保我理解了事情。据我目前收集到的信息,Cucumber只是一个“包装器”,或者是一种通过将事物分类为功能和步骤来组织测试的好方法,其中实际的单元测试处于步骤阶段。它允许您根据事物的工作方式组织您的测试。对吗? 最佳答案 有点。它是一种组织测试的方式,但不仅如此。它的行为就像最初的Rails集成测试一样,但更易于使用。这里最大的好处是您的session在整个Scenario中保持透明。关于Cucumber的另一件事是您(应该)从使用您的代码的浏览器或客户端的角度进行测试。如果您愿意,您可以使用步骤来构建对象和设置状态,但通常您
我在新的Debian6VirtualBoxVM上安装RVM时遇到问题。我已经安装了所有需要的包并使用下载了安装脚本(curl-shttps://rvm.beginrescueend.com/install/rvm)>rvm,但以单个用户身份运行时bashrvm我收到以下错误消息:ERROR:Unabletocheckoutbranch.安装在这里停止,并且(据我所知)没有安装RVM的任何文件。如果我以root身份运行脚本(对于多用户安装),我会收到另一条消息:Successfullycheckedoutbranch''安装程序继续并指示成功,但未添加.rvm目录,甚至在修改我的.bas